Mises à jour de sécurité
Les vulnérabilités Node.js affectent directement Express. Cependant, gardez un oeil sur les vulnérabilités Node.js et assurez-vous d’utiliser la dernière version stable de Node.js.
La liste ci-dessous répertorie les vulnérabilités Express qui ont été corrigées dans la mise à jour de la version spécifiée.
4.x
- 4.11.1
- Correction de la vulnérabilité de divulgation de racine dans
express.static,res.sendfileetres.sendFile
- Correction de la vulnérabilité de divulgation de racine dans
- 4.10.7
- Correction de la vulnérabilité de redirection ouverte dans
express.static(advisory, CVE-2015-1164).
- Correction de la vulnérabilité de redirection ouverte dans
- 4.8.8
- Correction des vulnérabilités de traversée de répertoire dans
express.static(advisory , CVE-2014-6394).
- Correction des vulnérabilités de traversée de répertoire dans
- 4.8.4
- Node.js 0.10 peut divulguer des
fddans certaines situations qui affectentexpress.staticetres.sendfile. Des demandes malveillantes pouvaient entraîner la divulgation defd, ainsi que des erreursEMFILEet une absence de réponse du serveur.
- Node.js 0.10 peut divulguer des
- 4.8.0
- Les tableaux creux qui possèdent des index très élevés dans la chaîne de requête pouvaient entraîner la saturation de mémoire et la panne du serveur.
- Les objets contenant des chaînes de requête extrêmement imbriquées pouvaient entraîner le blocage du processus et figer temporairement le serveur.
3.x
- 3.19.1
- Correction de la vulnérabilité de divulgation de racine dans
express.static,res.sendfileetres.sendFile
- Correction de la vulnérabilité de divulgation de racine dans
- 3.19.0
- Correction de la vulnérabilité de redirection ouverte dans
express.static(advisory, CVE-2015-1164).
- Correction de la vulnérabilité de redirection ouverte dans
- 3.16.10
- Correction des vulnérabilités de traversée de répertoire dans
express.static.
- Correction des vulnérabilités de traversée de répertoire dans
- 3.16.6
- Node.js 0.10 peut divulguer des
fddans certaines situations qui affectentexpress.staticetres.sendfile. Des demandes malveillantes pouvaient entraîner la divulgation defd, ainsi que des erreursEMFILEet une absence de réponse du serveur.
- Node.js 0.10 peut divulguer des
- 3.16.0
- Les tableaux creux qui possèdent des index très élevés dans la chaîne de requête pouvaient entraîner la saturation de mémoire et la panne du serveur.
- Les objets contenant des chaînes de requête extrêmement imbriquées pouvaient entraîner le blocage du processus et figer temporairement le serveur.
- 3.3.0
- La réponse 404 à une tentative de substitution de méthode non prise en charge était susceptible d’entraîner des attaques de type cross-site scripting.